60 firm, od Mastercarda do Revoluta, wsparło prace nad protokołem AP2, który ma rozwiązać niektóre bolączki zakupów realizowanych przez agentów AI. Ważne jest jednak również to, czego w pomyśle Google zabrakło, i kto nie znalazł się w tworzonym aliansie.
Termin „card not present” (CNP) znają przede wszystkim osoby na co dzień stykające się z zapleczem handlu elektronicznego. Mianem tym określa się transakcje, w których używana jest karta płatnicza, ale fizycznie nie jest one prezentowana sprzedawcy. Przykładem może być chociażby zakup online, gdy wpisujemy numery plastiku, datę ważności i kod CVC2/CVV2. To również my, posiadacz karty, wciskamy przycisk „zapłać” i potwierdzamy (jeśli to konieczne) operację np. w aplikacji mobilnej banku.
Jesteśmy u progu czasów, gdy powszechne staną się zakupy, które można określić hasłem „human not present”. Inteligentni agenci będą, na nasze zlecenie, przeczesywać sieć i znajdować dla nas najlepsze oferty. Aby wizja tzw. agentic commerce mogła się spełnić w stu procentach, potrzebny jest jednak jeszcze kluczowy element – płatność.
Na łamach Bankier.pl pisaliśmy kilka miesięcy temu o czterech modelach rozwiązania problemu „niesamodzielności płatniczej” agenta AI. Trwa walka o to, kto stworzy uniwersalne ramy dla transakcji, w których nie uczestniczy już człowiek. Swoje wizje przedstawiły organizacje kartowe, PayPal, Coinbase i inni. W połowie września do wyścigu o nowy „Dziki Zachód” płatności włączył się na poważnie Google, prezentując Agent Payments Protocol (AP2).
W czym ma pomóc AP2?
Dzisiejsze płatności detaliczne w sieci bazują na założeniu, że gdzieś tam, po drugiej stronie ekranu, jest człowiek. Jeśli mamy dopuścić do podważenia tego fundamentu, pojawia się kilka istotnych problemów. AP2 skupia się na kilku wybranych kwestiach:
- Autoryzacji, rozumianej jako udowodnienie, że płatnik upoważnił agenta do dokonania konkretnego zakupu/transakcji.
- Autentyczności, czyli możliwości upewnienia się, że działania agenta mieszczą się w narzuconych mu przez płatnika ramach.
- Odpowiedzialności, czyli ustalenia, kto zawinił, jeśli dojedzie do transakcji oszukańczej lub pomyłki.
"AP2 to otwarty, współdzielony protokół, który zapewnia wspólny język dla bezpiecznych, zgodnych z przepisami transakcji między agentami a sprzedawcami, pomagając zapobiegać fragmentacji ekosystemu. Obsługuje również różne typy płatności – od kart kredytowych i debetowych po stablecoiny i przelewy bankowe w czasie rzeczywistym” – tak opisuje założenia swojego rozwiązania Google. Warto zwrócić uwagę, że protokół jest „płatniczo agnostyczny”, czyli nie odnosi się wprost do mechanizmu rozliczeń. Koncentruje się raczej na otoczeniu procesu płatności (i doprowadzających do niego krokach) niż samej operacji.
Cyfrowe „mandaty”, czyli pomysł na przejrzystość
Głównym pomysłem, stanowiącym centrum propozycji AP2, jest „mandat”, czyli upoważnienie (ang. mandate). To cyfrowy kontrakt, podpisany elektronicznie i przez to odporny na manipulacje jego treścią, stanowiący dający się zweryfikować dowód instrukcji, jakie przekazał agentowi człowiek-płatnik.
Mandaty występują w dwóch odmianach:
- Mandat intencji (intent mandate), w którym zapisane zostają żądania stawiane przez użytkownika korzystającego z agenta AI. Przykładem może być instrukcja „znajdź hotel na Powiślu na najbliższy weekend dla jednej osoby”.
- Mandat koszyka (cart mandate), który dotyczy sfinalizowania transakcji, nabycia konkretnego dobra lub usługi o określonej cenie. Przykładem może być „2 noce w terminach X, w hotelu Y, łączna cena Z zł”.
W przypadku zakupów, gdzie płatnik „na żywo” uczestniczy w podejmowaniu decyzji, mandat koszyka podpisuje człowiek. Przykładem może być sytuacja, w której agent prezentuje nam listę wyszukanych opcji i pozostawia decyzję o wyborze kupującemu.
Możliwy jest jednak również scenariusz w pełni zasługujący na miano „human not present”. Mandat intencji obejmuje wówczas warunki, po spełnieniu których agent może wygenerować mandat koszyka. Przykładem podawanym przez Google jest instrukcja „kup mi bilety na koncert, gdy będą dostępne”. W ramach przykładowego mandatu intencji konieczne byłoby podanie limitu ceny i innych szczegółów (np. typ miejsc), by później transakcja mogła zostać sfinalizowana bez udziału człowieka.
Protokół nie opisuje, co dzieje się dalej. W obu scenariuszach proces kończy się powiązaniem, w niezaprzeczalny sposób, śladu wszystkich kroków (intencja, koszyk) z wybraną metodą płatności. To „tworzy niepodważalną ścieżkę audytu, która odpowiada na kluczowe pytania dotyczące autoryzacji i autentyczności, zapewniając wyraźną podstawę odpowiedzialności”, jak wskazuje Google.
Kto dostarczy „poświadczenia tożsamości”?
AP2 nie jest jeszcze w pełni gotowym standardem, a lista podmiotów, który wniosły swój wkład i deklarują rozwijanie pomysłu już jest imponująca. Wśród 60 firm znajdziemy m.in. American Express, Mastercarda, Accenture, Deloitte, Coinbase, PayPala czy Revoluta. Protokół w przemyślany sposób wydaje sie rozwiązywać wyzwania w jednym z obszarów tzw. agentic commerce. Pozostawia jednak specyficzną „dziurę” – kto i jak zajmie się uwierzytelnieniem płatnika. Mandaty muszą zostać bowiem powiązane z szeroko rozumianym instrumentem płatniczym (mieści się w tym np. stablecoinowy portfel), za którym stoi konkretna osoba.
Naturalną odpowiedzią byłoby wskazanie na organizacje kartowe, które wypracowały nie tylko techniczne rozwiązania koncentrujące się tej kwestii (cyfrowe „credentials”, stokenizowane karty płatnicze), ale także cały skomplikowany system zasad rozwiązujących kwestię odpowiedzialności za transakcje (w tym wyjątki, reklamacje, oszustwa, błędy itd.). W gronie współpracujących z Google próżno jednak szukać jednego z najważniejszych graczy za Oceanem, czyli organizacji Visa. Na liście nie widzimy również żadnego z dużych banków.
Visa ma swój pomysł na płatności w erze AI, ale równie dobrze mogłaby pogodzić go ze standardem pod szyldem AP2. Najbliższe miesiące przyniosą zapewne odpowiedź na pytanie, czy będziemy świadkami kolejnego przykładu „wojny standardów”, czy może przewagę zyska jedno z rozwiązań.
